瞭解 CVSS：通用漏洞評分系統的應用

漏洞威脅管理至關重要，因為網路犯罪是一種持續存在的全球風險。網路犯罪分子願意利用軟體中的任何漏洞來訪問網路和裝置。對使用該軟體的軟體開發人員和組織的影響可能很嚴重。使用者必須處理攻擊的結果，例如贖金或資料盜竊，並且還可能面臨法律後果、經濟損失和聲譽受損。

開發人員應該測試程式碼缺陷，評估漏洞，並在釋出前修復它們，但終端使用者也應該有一個強大的漏洞威脅管理計劃，以保護自己免受網路犯罪的破壞性影響。

通用漏洞評分系統旨在幫助軟體開發人員和使用者評估其軟體的漏洞，並制定一個穩健的VTM計劃，以確保其系統儘可能安全。

軟體漏洞

每年都有越來越多的軟體漏洞被發現，網路犯罪分子已經準備好滲透系統以獲取他們的優勢。軟體漏洞是由於程式碼中的錯誤造成的，例如漏洞或漏洞，使攻擊者能夠注入或修改程式碼，從而完全訪問系統的資料。

例如，虛擬聯絡中心軟體開發人員可能會在其產品釋出之前識別編碼漏洞，或者如果在釋出後發現漏洞，建立補丁來修復漏洞。

什麼是 CVSS?

軟體開發人員、漏洞研究人員和威脅管理團隊使用通用漏洞評分系統來識別軟體漏洞。CVSS 提供了一個標準化的評分系統來評估軟體漏洞的嚴重性。然後可以有效地優先考慮這些威脅以及消除它們所需的行動。

現在，CVSS 由美國非營利性公司事件響應和安全團隊論壇 (FIRST) 擁有和管理，並得到來自各個行業的一組代表的支援，這些代表致力於幫助保護組織免受網路威脅。

分數是如何計算的?

CVSS 分數結合了三組指標：

基本指標

基本分數代表漏洞的特徵，並且在使用者環境中是一個常數。基礎分數結合了三個子分數元素：

可利用性

評估了漏洞被利用的難易程度，並基於另外四個子元件：

攻擊向量——對利用漏洞所需的訪問級別進行評分。如果一個漏洞可以被遠端利用，那麼它的得分將高於只有物理存在時才能利用的漏洞。

攻擊複雜性——評估攻擊者控制範圍之外的因素，這些因素會影響他們利用漏洞的潛力。如果攻擊者在沒有任何附加資訊的情況下很容易利用該漏洞，那麼它就會獲得高分。

所需許可權——該分數基於攻擊者利用漏洞所需的許可權級別。如果需要高階身份驗證，那麼它的得分將低於不需要身份驗證的得分。

使用者互動——這個分數取決於攻擊者是否需要其他使用者的操作來利用漏洞。例如，攻擊者可能需要使用者下載會計和稅務服務模板的提案，以啟用他們注入的程式碼以利用他們的軟體漏洞。如果攻擊者可以在沒有其他使用者進一步操作的情況下完成他們的任務，則得分會更高。

影響

影響分值衡量攻擊的潛在後果，包含三個因素:

保密性——反映可能被洩露或丟失的資料量。

完整性——對攻擊者可以對系統中的資料施加的操縱程度和資料的可信性進行評分，應用ACID原則等特性進行攻擊。

可用性——反映了攻擊對其他使用者訪問系統的能力的影響。如果系統受到攻擊後其他人無法訪問該系統，則得分將很高。

範圍

這主要關注攻擊對系統中其他元件的影響能力。如果漏洞允許潛在的攻擊者訪問系統的其他區域，那麼它將獲得高分。

時間指標

這些漏洞可能會隨著時間的推移而變化，並且基於已知可利用的漏洞以及修補這些漏洞的可用性或方法。例如，一個企業託管的VoIP軟體包可能會發現一個新的漏洞，但可能需要幾個月的時間來開發一個補丁來保護它。

一個新的漏洞，如果沒有任何方法來糾正它，風險是很高的。如果提供了補丁或更新來保護漏洞，得分可以降低。

時間指標基於：

利用程式碼成熟度——這反映了利用漏洞所需的工具和方法的可用性。

修復級別——此分數取決於何時可以使用適當的修復來修復漏洞。

報告置信度——衡量對報告準確性的置信度。如果在沒有證據的情況下報告漏洞，則得分較低。

環境指標

此分數對於發現漏洞的環境是唯一的。它的獨特之處在於它需要一種基於風險的方法，該方法考慮組織的安全協議、易受攻擊的元件對其系統的重要性以及任何安全漏洞對漏洞的影響。

使用環境指標來定製基礎分數，考慮以下因素:

可訪問性——評估漏洞對單個系統元件的影響。非特權使用者終端的得分將低於管理員終端。

安全性——評估安全協議以減少潛在的攻擊。例如，遠端辦公人員使用vpn來消除對網際網路的直接訪問。

CVSS 分數

CVSS 分數範圍從 0.0(無威脅)到 10.0(嚴重威脅)。

基礎分數包括可利用性和影響分數。但是，時間和環境評分透過考慮時間點和使用者環境，有助於更深入地瞭解漏洞。

基本和時間分數通常由軟體製造商生成，他們將使用詳細的資料來識別測試期間的任何漏洞。然後，終端使用者計算環境評分，他們可以識別任何可能影響漏洞威脅的獨特因素，並更改基本和時間評分。

背景很重要

基礎分數可以單獨使用。要獲得更準確的分數，可以應用時間和環境分數。只有終端使用者知道他們使用軟體的環境，以及這樣做是否會增加或消除漏洞的威脅。

CVSS分數不反映透過漏洞攻擊的潛在影響或可能性，因此應用上下文是重要的。不要僅僅依賴於CVSS分數來保護對你的組織至關重要的系統。

駭客並不關注高分漏洞。利用低分漏洞可能對他們來說更有利可圖，特別是如果忽略該漏洞而將注意力集中在得分較高的漏洞上。

如何應用 CVSS 分數

一個有效的漏洞管理團隊將使用 CVSS 分數作為基礎，然後應用環境和時間分數以及他們獨有的變數，以更準確地瞭解漏洞的可利用性及其可能對其組織產生的影響。此外還需要結合企業的其他法規，來評定利用該漏洞可能造成的潛在損害並確定修補的優先順序。

可以使用線上資料庫和威脅情報工具來修改基本 CVSS 分數。這些可以幫助您應用環境變數來確定漏洞的可利用性和影響。然後，您可以優先考慮那些一旦被利用就會對您的組織造成最大危險的漏洞。

總結CVSS

軟體漏洞帶來的無窮無盡的風險給虛擬機器管理人員帶來了挑戰。CVSS幫助識別潛在漏洞並評估其嚴重性的關鍵工具。

標準化平臺有助於簡化組織的流程，以幫助加強其IT安全。

文章來源：

https://www.cybersecurity-insiders.com/understanding-cvss-applications-of-the-common-vulnerability-scoring-system/